Hackning af Apache2 - Hvordan?

Her postes alt, som ikke direkte har noget med Ubuntu at gøre.
Brugeravatar
NickyThomassen
Admin
Indlæg: 3652
Tilmeldt: 5. mar 2010, 19:58
IRC nickname: nicky
Geografisk sted: 192.168.20.42

Hackning af Apache2 - Hvordan?

Indlæg af NickyThomassen »

Aktive brugere af off-topic vil nok have gættet, at jeg er i gang med at lære mig selv om hjemmeside-bygning ved brug af HTML4, HTML5, CSS og PHP. Jeg har en standard konto hos et dansk hosting-firma, og sikkerheden der må være deres problem. Så længe at jeg sikre DocumentRoot tilstrækkeligt imod upload af filer, ændringer af .htaccess og den slags.

Derudover hoster jeg min startside på localhost, med ~150 links og en smule andet indhold. Sikkerheden der er ikke det store problem, men det skader jo aldrig at dobbelttjekke. Det sidste sted jeg hoster, er på en svensk virtuel server. Den bliver mest brugt til backup, men med root-adgang til filsystemet, er det i min bog nærliggende at lære endnu mere om hosting.

Fælles for alle tre steder, er brugen af Apache2 og PHP.
Hvad jeg gerne vil vide, er om der findes bestemte sårbarheder, eller meget dårlig praksis, man bør være opmærksom på. Lange søgninger på nettet afsløre en masse, men dels er det svært at gennemskue alvorligheden af dem, og dels skriver ingen hvordan man udnytter dem. Uden den viden, kan det blive svært at teste egne installationer af Apache2 og PHP.

Helt specifikt tænker jeg netop på sårbarheder som tillader upload af filer, eller fx følgende eksempel:

Kode: Vælg alt

http://localhost/cgi-bin/php?/etc/hosts
Som potentielt kan give adgang til filer i filsystemet, hvis Apache2 er konfigureret dårligt. Jeg læste for nylig også om en hashing-fejl, som gjorde at serveren ville bruge 20-30 sekunder på at behandle én forkert forespørgsel. Fejlen var PHP-specifik, men kunne uden de store problemer ligge serveren ned.

Jeg ved ikke om en opfordring til omtanke er nødvendig, men her kommer der alligevel lidt. Mine søgninger på nettet har stået på i et års tid, og grunden til min tøven med at spørge her, burde være åbenlys. På den anden side har det altid været min holding, at problemer af den type her, bedst behandles med åbenhed, frem for den lukkethed der ser ud til at herske. Jeg håber derfor, at det er muligt at have sådan en tråd her, uden at nogen bliver trådt over tæerne, eller føler at UbuntuDKs forum bliver brugt til noget det ikke burde.
buddig
Indlæg: 746
Tilmeldt: 18. maj 2011, 21:54
Geografisk sted: Ugelbølle ved Aarhus

Re: Hackning af Apache2 - Hvordan?

Indlæg af buddig »

I sidste måned var jeg til et foredrag netop om sikkerhed på nettet.
En af henvisningerne var:
Backtrack er det ikke værktøjet til det ?
En anden henvisning: https://www.owasp.org/index.php/OWASP_Broken_Web_Applications_Project
Meget apropos, så var foredraget i Hackaarhus :)
Henning
Brugeravatar
NickyThomassen
Admin
Indlæg: 3652
Tilmeldt: 5. mar 2010, 19:58
IRC nickname: nicky
Geografisk sted: 192.168.20.42

Re: Hackning af Apache2 - Hvordan?

Indlæg af NickyThomassen »

Mange tak for svaret, det tog lidt længere tid at blive færdig med Apache, end jeg lige havde regnet med, så derfor det sene svar :)

Meget sjovt at det lige var i hackaarhus, spørgsmålet og emnet taget i betragtning!
Backtrack virker næsten som for meget arbejde, forstået på den måde, at det kun er Apache og måske firewall'ens åbne porte jeg havde tænkt mig at tjekke op på. På den anden side virker QWASP til at være det helt rigtige, så mange tak for linket, der er i hvert fald rigeligt at læse op på.